ГШ
Там давно уже бардак. Особенно где необходимость+хотелки+требования гос регуляторов переплетаются. А усугубляется всё это ещё необходимостью работы с ребятами из силовых структур, которые капец какие "деревянные" и тупор... упёртые.
Size: a a a
2021 November 14
MS
Директор ИБ - это всё же CISO. Но с учётом написанного мной выше и, в следствие, непонимания бизнесом роли ИБ, эту структуру куда только не засовывают. Хорошо, если в ИТ (под CIO), а не в физическую безопасность (охрану) или экономическую. Но даже внутри IT, она погибает, для CIO, ИБ - это тормоз, ухудшающий его KPI
A
Плохо даже не то, что это тормоз. А то, что это часто просто запреты без решений
А хочется от экспертов ИБ получать решения, а не просто набор требований. Но если там будут платить меньше, чем в разработке, то и решений от них не будет.
А хочется от экспертов ИБ получать решения, а не просто набор требований. Но если там будут платить меньше, чем в разработке, то и решений от них не будет.
RZ
У нас недавно родился Архитектор по ИБ в Корп. архитектуре, потому что на ИБ навешивают и функции СБ, ЭБ и физической безопасности
MI
У них задача — «не выпустить небезопасное решение», и она отлично решается как раз палками в колёса.
Когда будет задача «выпустить безопасное решение в нужные бизнесу сроки», тогда и увидим активную жизненную позицию у них.
Когда будет задача «выпустить безопасное решение в нужные бизнесу сроки», тогда и увидим активную жизненную позицию у них.
RZ
Для этого нужно переподчинение ИБ под ИТ, чего я нигде не видел. Обычно "погоны" равные, а за ИБ ещё и риск менеджмент всегда. И наличие CDTO на том же уровне только позволит уравнять голоса
A
Плохо то, что в обычное ИТ приходится затаскивать из-за этого полную компетенцию по ИБ. Вместо нормального разделения обязанностей.
MI
Справедливости ради, это тоже известный подход.
В Амазоне, рассказывали, в каждой продуктовой команде должны быть все компетенции, включая хардкорное сисадминство, сети, корп.арх, и безопасность, то есть команды являются по-настоящему полноценными боевыми единицами.
Подразумевается, что команда способна самостоятельно сделать качественный во всех смыслах продукт, и роль «корпоративного» эксперта ИБ заключается только в аудите, в самом строгом смысле этого слова.
Но у них созданы условия для этого, вот в чём разница с нами.
В Амазоне, рассказывали, в каждой продуктовой команде должны быть все компетенции, включая хардкорное сисадминство, сети, корп.арх, и безопасность, то есть команды являются по-настоящему полноценными боевыми единицами.
Подразумевается, что команда способна самостоятельно сделать качественный во всех смыслах продукт, и роль «корпоративного» эксперта ИБ заключается только в аудите, в самом строгом смысле этого слова.
Но у них созданы условия для этого, вот в чём разница с нами.
A
Ага, в сбере, втб, гпб самостоятельной считается (на бумаге конечно) команда из аналитика, фронтэнд разработчика, бэкэнд разработчика и тестировщика
ST
Они и в реальным бывают. Мой знакомый стал CSO крупнейшего банка Казахстана.
IB
Как человек, работающий с ИТ и ИБ крупных компаний, свидетельствую: на самом деле это весьма частая история. И это плохо, и вот почему: задачи ИБ находятся практически в прямом противоречии с желаниями ИТ. ИТ хотят сделать так, чтобы пользователям было максимально удобно работать, а ИТ - максимально удобно предоставлять необходимые для работы сервисы, а ИБ непременно это удобство и скорость понизит, поэтому у CISO в подчинении CIO постоянный конфликт интересов - он вынужден делать то, что не понравится его боссу. Лучше, когда CISO подчиняется CSO, в задачи которого входит ещё и безопасность физическая, но только при том условии, что он обладает автономностью в принятии решений, иначе это превратится в "нужно больше вахтёров и камер наблюдения, в том числе и внутри этих ваших компьютеров". Идеально, когда CISO подчиняется Chief Risk Officer, потому что ИБ, в конечном итоге, именно про риски - но такого я пока в российских компаниях не встречал.
VO
Мне казалось, изначально смысл создания новых ролей типа СхО, и особенно CDTO и CISO, был в том, чтобы никому кроме СЕО не подчиняться, и быть на равных с другими участниками "круглого стола".
Иначе... просто модный тренд на С начинаться. И такой CISO - это начальник службы ИБ.
P.S. CISO как именно CxO, замГД, равный уровень с Аналитикой, Разработкой, Эксплуатацией и Финансами, я встречал.
Иначе... просто модный тренд на С начинаться. И такой CISO - это начальник службы ИБ.
P.S. CISO как именно CxO, замГД, равный уровень с Аналитикой, Разработкой, Эксплуатацией и Финансами, я встречал.
A
Ну, это все красиво. Но мы то видим, что таких человеков только на мангу хватит ) остальным придется жить в мире где ни архитекторов, ни ИБ не хватает )
IB
Когда-нибудь непременно так и будет, потому что кибербезопасность должна быть вопросом уровня совета директоров (хотя бы потому что ущерб от инцидента может быть катастрофическим, вплоть до полной потери бизнеса), а значит CISO должен за этим столом сидеть и иметь равное право голоса. Но сейчас, увы, так далеко не везде.
VO
Не обязательно....
Решение, какие роли выносить на C-уровень - это стратегическое, но, если говорить о группе компаний, достаточно рутинное для стратегов решение.
Если ИБ - важная функция с самостоятельной ценностью, то да. Например, в компании, чей бизнес основан на безопасности клиентов, информации, и так далее.
Если ИБ является функцией защиты от взлома с ущербом - то это часть функции безопасности. И замГД по безопасности должен решать, сколько тратить на какую форму безопасности.
Там, где взлом приведет к полной потере бизнеса, может быть разумно оставить только CISO, и аутсорснуть физическую безопасность на охранное предприятие, защищающее арендуемый офис.
Подчинение ИБ блоку Риски подходит для традиционных универсальных банков, где риск "супервзлома" ограничен (тем, что вся система и продукты содержат много защит, в т.ч. через ручные процессы), и может рассматриваться среди других высоких рисков. Хотя полностью цифровые банки уже относятся к варианту выше.
Решение, какие роли выносить на C-уровень - это стратегическое, но, если говорить о группе компаний, достаточно рутинное для стратегов решение.
Если ИБ - важная функция с самостоятельной ценностью, то да. Например, в компании, чей бизнес основан на безопасности клиентов, информации, и так далее.
Если ИБ является функцией защиты от взлома с ущербом - то это часть функции безопасности. И замГД по безопасности должен решать, сколько тратить на какую форму безопасности.
Там, где взлом приведет к полной потере бизнеса, может быть разумно оставить только CISO, и аутсорснуть физическую безопасность на охранное предприятие, защищающее арендуемый офис.
Подчинение ИБ блоку Риски подходит для традиционных универсальных банков, где риск "супервзлома" ограничен (тем, что вся система и продукты содержат много защит, в т.ч. через ручные процессы), и может рассматриваться среди других высоких рисков. Хотя полностью цифровые банки уже относятся к варианту выше.
ST
Такой расклад во всех крупных банках. ИБ - всегда отдельно.
MS
В современном мире ИБ влияет на компании, чей бизнес далек от информации. Компания Сен-Гобен - международная производственная компания, делает различные материалы (строительство, автопромышленность и пр). Вот только после того, как у них случился не-петя, их заводы по всему миру вот так тупо встали на пару неделек, а всего компания потеряла 300 млн $, согласно отчёту для акционеров.
VO
То, что кибератаки могут нанести существенный ущерб (кстати, в случае SG, <1% выручки) - не делает их ключевой функцией компании.
Я передерну для наглядности:
"В современном мире терроризм влияет на компании, чей бизнес далек от политики. Разрушение башен Всемирного Торгового Центра не только стерло с лица земли сотни компаний, размещавшихся в нем. Пострадали даже владельцы недвижимости: обе башни были застрахованы на стоимость только одной..."
Значит ли это, что в правление Ashbar Punjabi Textiles From Alibaba Marked Up Reseller будет эффективным включить Chief Counter-Terrorism Officer?
Нет. Ашбар может решить проблему кибератак размещением 100% своего бизнеса на готовом маркетплейсе, где о безопасности позаботится их CISO (и да, вот им - нужен), а проблему физического терроризма - ежерассветной медитацией о всевышнем.
Я передерну для наглядности:
"В современном мире терроризм влияет на компании, чей бизнес далек от политики. Разрушение башен Всемирного Торгового Центра не только стерло с лица земли сотни компаний, размещавшихся в нем. Пострадали даже владельцы недвижимости: обе башни были застрахованы на стоимость только одной..."
Значит ли это, что в правление Ashbar Punjabi Textiles From Alibaba Marked Up Reseller будет эффективным включить Chief Counter-Terrorism Officer?
Нет. Ашбар может решить проблему кибератак размещением 100% своего бизнеса на готовом маркетплейсе, где о безопасности позаботится их CISO (и да, вот им - нужен), а проблему физического терроризма - ежерассветной медитацией о всевышнем.
Ⓢ-
Интересная статья о рынке труда, нехватке специалистов и не только (вчера вышла), там есть ссылки на две чисто IT статьи.
.
https://habr.com/ru/company/headzio/blog/588961/
.
Вероятно, зарплаты не просто так растут и не просто "IT-шники зажрались"... А просто выравнивание начинается к тому что должно быть.
❗️❗️❗️
П.с. тема холиварная, рекомендую просто почитать, тут обсуждать не стоит, думаю...
❌❌❌
Но в статье не только про ITшников, там про всех и рынок в общем...
Многим, думаю, интересно будет...
.
.
https://habr.com/ru/company/headzio/blog/588961/
.
Вероятно, зарплаты не просто так растут и не просто "IT-шники зажрались"... А просто выравнивание начинается к тому что должно быть.
❗️❗️❗️
П.с. тема холиварная, рекомендую просто почитать, тут обсуждать не стоит, думаю...
❌❌❌
Но в статье не только про ITшников, там про всех и рынок в общем...
Многим, думаю, интересно будет...
.
A
